الاستراتيجية السيبرانية لإيران: تصعيد خفي يجمع بين التخريب والتجسس والتمويه الإجرامي
تتطرق نايلة الصليبي في "النشرة الرقمية" إلى مجموعة تقارير أمن سيبراني عن تصاعد الهجمات السيبرانية الإيرانية؛ التي تنوعت أهدافها من أنظمة مراقبة خزانات الوقود في محطات أمريكية، وشركات إلكترونيات عملاقة في آسيا، إلى مؤسسات حكومية ومطارات في الشرق الأوسط.فما هي هذه العمليات و ما الذي تكشف عنه ؟
الاستراتيجية السيبرانية الإيرانية: تصعيد متعدد الأوجه
في تصعيد يربط بين التهديدات التخريبية للبنية التحتية الحيوية وعمليات التجسس الاقتصادي المعقدة، كشفت تقارير عدة عن حملات إلكترونية متزامنة يشتبه في وقوف قراصنة إيرانيين وراءها، استهدفت أنظمة مراقبة خزانات الوقود في محطات أمريكية، وشركات إلكترونيات عملاقة في آسيا، ومؤسسات حكومية ومطارات في الشرق الأوسط. وبينما لم تسفر اختراقات محطات البنزين عن أضرار مادية، إلا أنها أثارت مخاوف من إمكانية التلاعب بأنظمة السلامة، في وقت تتسارع فيه وتيرة العمليات السيبرانية الإيرانية مستخدمةً تقنيات متطورة وتمويهًا ببرامج فدية لإخفاء أنشطة التجسس.
محطات الوقود: اختراق صامت يحمل رسائل مقلقة
يشتبه مسؤولون أمريكيون في أن قراصنة إلكترونيين إيرانيين يقفون وراء سلسلة من الاختراقات طالت أنظمة مراقبة كمية الوقود في خزانات محطات البنزين بعدة ولايات أمريكية، وفقًا لمصادر متعددة مطلعة على التحقيقات. واستغل المهاجمون ثغرة بدائية تمثلت في أنظمة قياس مستوى الوقود الأوتوماتيكية (ATG) المتصلة بالإنترنت دون حماية بكلمات مرور، ما سمح لهم بالتلاعب بقراءات شاشات العرض على الخزانات، دون المساس بمستويات الوقود الفعلية.
ولم تُسجل أي أضرار مادية مباشرة جراء هذه الاختراقات، غير أن الخبراء والمسؤولين يحذرون من أن الوصول إلى هذه الأنظمة قد يُمكّن المهاجمين، نظريًا، من إخفاء تسربات خطيرة للوقود، وهو ما يضاعف المخاوف الأمنية. وتُرجح المصادر أن يكون سجل إيران السابق في استهداف أنظمة خزانات الوقود سببًا رئيسيًا في جعلها المشتبه به الأول، لكنها تحذر في الوقت ذاته من أن نقص الأدلة الجنائية التي تركها المخترقون قد يحول دون تحديد هوية المسؤول بشكل قاطع.
وتأتي هذه الحادثة في وقت حساس سياسيًا، إذ سلط استطلاع للرأي أجرته شبكة CNN الضوء على أن٧٥% من الأمريكيين أفادوا بأن الحرب مع إيران أثرت سلبًا على أوضاعهم المالية، ويرتبط ذلك بارتفاع أسعار المحروقات. وإذا تأكد التورط الإيراني، فسيشكل ضغطًا إضافيًا على الإدارة الأمريكية التي تواجه تساؤلات متصاعدة حول أمن البنية التحتية الحيوية في الداخل.
من الخزانات إلى المياه: نمط ممنهج من الاستهداف
تتوافق هذه العملية مع منهجية إيرانية راسخة في استهداف نقاط الضعف السهلة في الأنظمة الحيوية الأمريكية. وكان قد سبق لمسؤولين أمريكيين أن اتهموا قراصنة مرتبطين بالحرس الثوري الإيراني بشن هجمات على مرافق مياه أمريكية بعد هجوم حماس في السابع من أكتوبر ٢٠٢٣، حيث عُرضت رسالة معادية لإسرائيل على معدات التحكم في ضغط المياه. هذه الهجمات الانتهازية تُظهر، وفقًا للمصادر، تحولًا في السلوك السيبراني الإيراني نحو مزيد من الجرأة والتنوع في الأهداف.
ويؤكد باحثو الأمن السيبراني أن الخطر على أنظمة ATG تحديدًا ليس جديدًا، ففي عام ٢٠١٥، كشفت شركة "تريند مايكرو" عند نشرها أنظمة وهمية من هذا النوع على الإنترنت عن ظهور شبه لمجموعة موالية لإيران، قبل أن تُحدد وثائق داخلية للحرس الثوري هذه الأنظمة كهدف محتمل لهجمات تخريبية عام ٢٠٢١. من خلال وثائق كشف عنها موقع سكاي نيوز .
تسارع الوتيرة وتطور الأدوات
يرى مراقبون أن الأشهر الأخيرة شهدت تحولًا ملحوظًا في وتيرة العمليات السيبرانية الإيرانية ونطاقها. ويصف يوسي كارادي، رئيس المديرية الوطنية للأمن السيبراني الإسرائيلية، هذا التحول بقوله: "لاحظنا زيادة ملحوظة في النطاق والسرعة والتكامل بين العمليات الإلكترونية والحملات النفسية" خلال الحرب الأخيرة. وبينما أعلن الجيش الإسرائيلي عن استهدافه "مقر الحرب السيبرانية" الإيراني في مارس ٢٠٢٦، أشار كارادي إلى ملاحظة "تراجع في بعض جوانب النشاط السيبراني العدائي" من منظور دفاعي، مضيفًا: "خلاصة القول أن الجهات الفاعلة الإيرانية تتعرض لضغوط وتحاول استغلال أي ثغرة في الفضاء السيبراني."
من جانبها، توضح أليسون ويكوف، مديرة فريق استخبارات التهديدات في شركة "برايس ووترهاوس كوبرز" (PwC)، أن العمليات الإيرانية "تتسارع الآن بوتيرة أسرع، مع استخدام شخصيات قرصنة متعددة المستويات، ومن المرجح استخدام الذكاء الاصطناعي للتوسع في عمليات الاستطلاع والتصيد الاحتيالي"، وتضيف أن الجديد اللافت هو "سرعة تطوير برمجيات خبيثة " جيدة بما يكفي"، بما في ذلك البرمجيات التي تمحو البيانات بشكل كامل، بالإضافة إلى حملات اختراق وتسريب مكثفة تستهدف وسائل الإعلام والمعارضين وشخصيات مدنية أمريكية بارزة."
وفي حين امتنع مكتب التحقيقات الفيدرالي FBI عن التعليق، لم تُصدر وكالة الأمن السيبراني وأمن البنية التحتية CISA أي رد أو تعليق . ويُقرّ المسؤولون بأن نقص الأدلة الجنائية الكافية قد يحول دون إصدار إسناد رسمي قاطع.
حملة تجسس عالمية
كذلك رصدت شركة "سيمانتك" للأمن السيبراني عن حملة تجسس إلكتروني واسعة النطاق شنتها مجموعة "مادي ووتر" MuddyWater، المعروفة أيضًا بأسماء "سيد وورم" و"ستاتيك كيتن" والمرتبطة بوزارة الاستخبارات والأمن الإيرانية. استهدفت الحملة تسع مؤسسات بارزة على الأقل، بينها شركة إلكترونيات كورية جنوبية كبرى، ووكالات حكومية، ومطار دولي في الشرق الأوسط، ومصانع في آسيا.
ووفق باحثي "سيمانتك "أمضى المهاجم أسبوعاً داخل شبكة شركة كورية جنوبية كبرى لتصنيع الإلكترونيات في فبراير ٢٠٢٦"، استخدم القراصنة تقنيات تحميل ملفات DLL الجانبية عبر برمجيات شرعية من "فورتي ميديا" و"سنتينل وان"، لإخفاء أدوات خبيثة مثل "ChromElevator" التي تسرق بيانات برامج التصفح. كما اعتمدوا على "PowerShell" في التقاط لقطات الشاشة، وسرقة بيانات الاعتماد عبر نوافذ ويندوز مزيفة، وإنشاء أنفاق للاتصال المشفر. ولإخفاء آثار تسريب البيانات، استغل المهاجمون خدمة "sendit.sh" العامة لمشاركة الملفات، في محاولة لجعل حركة البيانات تبدو طبيعية.
يشير باحثو "سيمانتك" إلى أن الحملة تظهر توسعًا جغرافيًا، ونضجًا عملياتيًا، واستغلالًا متزايدًا للأدوات والخدمات المشروعة، في تحول نحو هجمات أكثر هدوءًا وأقل ضجيجًا، وهو ما يعكس حرص المجموعة على إطالة أمد الوصول وجمع المعلومات الاستخباراتية بدقة.
التمويه ببرامج الفدية: عندما يختبئ الجاسوس خلف قناع المجرم
لم تقتصر استراتيجية التخفي الإيرانية على إخفاء الاتصالات، بل امتدت إلى التمويه بهجمات إلكترونية إجرامية. فقد رصدت شركة "Rapid7" استخدام قراصنة "MuddyWater" لبرنامج الفدية "Chaos" كغطاء لعملية تجسس حقيقية. بدأ الهجوم عبر الهندسة الاجتماعية على منصة "Microsoft Teams"، حيث خدع القراصنة موظفين لمنحهم حق مشاركة الشاشة، وتلاعبوا بإعدادات المصادقة الثنائية. وفي بعض الحالات، خُدع الموظفون لكتابة كلمات مرورهم في ملفات نصية محلية، قبل أن يُوظَّف برنامج AnyDesk للسيطرة عن بُعد.
وبعد السيطرة على الأنظمة، ثبت القراصنة بابًا خلفيًا مخصصًا يحمل اسم "Game.exe" ويتمتع بقدرات مضادة للتحليل والأجهزة الافتراضية، يدعم ١٢ أمرًا تشمل تنفيذ أوامر النظام وتحميل الملفات. ورغم وجود رسائل ابتزاز وتسجيل بيانات على بوابة تسريب "Chaos"، فإن الأدلة التقنية، ومنها شهادة توقيع برمجية استُخدمت سابقًا مع برمجيات خبيثة موثقة للمجموعة، قادت الباحثين إلى أن الهدف الأساسي لم يكن ماليًا، بل إخفاء عملية التجسس وإرباك جهود تحديد الهوية. يُضيف الباحثون أن هذه الاستراتيجية "تُبرز التقارب بين أنشطة الاختراق المدعومة من دول وأساليب الجريمة المنظمة".
حسب فريق Rapid7 سبق لهذه المجموعة أن استخدمت برنامج الفدية "Qilin" ضد منظمة إسرائيلية في أواخر عام ٢٠٢٥، ما قد يفسر تنويع أسماء برامج الفدية بعد نسب الهجوم السابق إلى جهات استخباراتية.
ترسم الوقائع المتفرقة صورة عن خصم سيبراني لا يكتفي بتوسيع نطاق أهدافه من محطات الوقود إلى عمالقة الصناعة، بل يطور أدواته باستمرار لتظل عملياته خفية بعيدا عن الرصد. من الاختراق الذي بدأ بثغرة بسيطة في أنظمة مراقبة خزانات أمريكية، يقابله تعقيد لافت في حملات التجسس على الشركات الكورية والمطارات، بينما يُستكمل المشهد بتمويه متقن عبر برامج فدية تهدف إلى طمس الدوافع الحقيقية. وبينما تصعّد إيران من وتيرة عملياتها وتدمج بين التخريب والتجسس وتكتيكات القرصنة، يبقى السؤال كم من الاختراقات الصامتة لا تزال تجري خارج نطاق الرصد؟
يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل
للتواصل مع نايلة الصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@ وعلى ماستودون وبلوسكاي عبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي
Fler avsnitt av النشرة الرقمية
Visa alla avsnitt av النشرة الرقميةالنشرة الرقمية med مونت كارلو الدولية / MCD finns tillgänglig på flera plattformar. Informationen på denna sida kommer från offentliga podd-flöden.